Jump to content
TheiApe

Sécurité des Livebox en question

Recommended Posts

Désolé, j'ai supprimé la discussion par erreur.

 

Je voulais dire concernant la sécurité que mes clients (bien éduqués par mes soins) utilisent des mots de passe uniques et sécurisés (alpha, num, maj, min et car spec.)

Ne répondent pas au phishing etc.

J'ai donc de forts soupçon sur les Livebox, voici pourquoi :

- Un de mes fils s'est connecté à une Livebox en Vacances (Gîte avec Livebox), le jour même compte piraté, pourtant bien sécurisé

- On fait souvent changer les Livebox des clients sans qu'ils le demandent

- Ça ne touche pas les autres opérateurs (dans mes clients)

- J'ai lu récemment qu'Orange changeait toutes les Livebox en Espagne, pourquoi pas en France?

Et puis tout çà :

https://www.lesnumeriques.com/vie-du-net/livebox-orange-piratables-a-distance-n81969.html

https://www.lebigdata.fr/orange-faille-livebox-noel

etc...

 

Ce qui m'alerte surtout c'est que cela touche quasi exclusivement des clients Orange et que je sais pertinemment que ce n'est pas un problème de phishing ou de simplicité/unicité de mot de passe.

 

 

 

Share this post


Link to post
Share on other sites

T'es articles ont 1 ans, les failles ont certainement du être corrigés.

J'habite en milieu rural, ainsi que mon entourage et malheureusement pour nous il n'y a que orange qui fournit les meilleurs débits, la majorité des personnes sont chez orange et pas de piratage de compte chez nous. Et je ne vois pas le lien entre la LB et les adresses mails

Share this post


Link to post
Share on other sites
il y a 11 minutes, ducke a dit :

T'es articles ont 1 ans, les failles ont certainement du être corrigés.

J'habite en milieu rural, ainsi que mon entourage et malheureusement pour nous il n'y a que orange qui fournit les meilleurs débits, la majorité des personnes sont chez orange et pas de piratage de compte chez nous. Et je ne vois pas le lien entre la LB et les adresses mails

Les gens conservent leur Box des années.

Le problème c'est que les failles ne sont pas toutes corrigeable par firmware, un changement de box parfois s'impose. Je ne vois jamais ça chez Free par exemple.

Je veux bien te croire mais moi ma réalité c'est vendredi encore deux dépannages de comptes Orange piratés avec mot de passe fort, pas de phishing etc

Et pour te dire je ne me souviens même pas du dernier piratage chez un autre opérateur. A chaque fois, c'est un client Orange, Orange et encore Orange.

Il ne se passe pas un mois sans que j'en ai un.

Share this post


Link to post
Share on other sites

Bonjour bonjour ^^

 

Orange n'est fait que pour faire de la communication physique et excelle dans cela.

Par contre, en ce qui concerner les mails, c'est pourrit, ça marche moyen et c'est piratable aisément depuis des années...


Je ne compte pas le nombres de "petits malins" qui ont fait des redirections automatiques de mail et qui envoyé du genre "au secours, je suis en [PAYS QUE TU VEUX], j'ai besoin de sous, vite" (une fois, j'ai eu en corse et j'ai expliqué au méchant d'aller en gendarmerie, que c'était beaucoup + simple en cas de vol de papier pour revenir en métropole etc ^^ Pas de nouvelle après, il a peut-être eu un bon accueil ^^

 

Mes clients pour leur sécurité, je les fais basculer, dès mon 1er passage, sur des plateformes qui font des emails, leur domaine, avec

  • authentification double facteur et
  • récupération des emails pour les sortir de chez Orange avec envoi du mail @orange possible dans la nouvelle plateforme pour que cela ne perde personne et
  • un meilleur système de spam...

Et cela ne passe pas par la LB, cela passe par un problème PEBKAC ou ICC... Avec une délivrance du même couple identifiant/mdp sur d'autres sites par exemple...

Edited by InstantT
politesse oubliée :'(

Share this post


Link to post
Share on other sites
il y a une heure, InstantT a dit :

Bonjour bonjour ^^

 

Orange n'est fait que pour faire de la communication physique et excelle dans cela.

Par contre, en ce qui concerner les mails, c'est pourrit, ça marche moyen et c'est piratable aisément depuis des années...


Je ne compte pas le nombres de "petits malins" qui ont fait des redirections automatiques de mail et qui envoyé du genre "au secours, je suis en [PAYS QUE TU VEUX], j'ai besoin de sous, vite" (une fois, j'ai eu en corse et j'ai expliqué au méchant d'aller en gendarmerie, que c'était beaucoup + simple en cas de vol de papier pour revenir en métropole etc ^^ Pas de nouvelle après, il a peut-être eu un bon accueil ^^

 

Mes clients pour leur sécurité, je les fais basculer, dès mon 1er passage, sur des plateformes qui font des emails, leur domaine, avec

  • authentification double facteur et
  • récupération des emails pour les sortir de chez Orange avec envoi du mail @orange possible dans la nouvelle plateforme pour que cela ne perde personne et
  • un meilleur système de spam...

Et cela ne passe pas par la LB, cela passe par un problème PEBKAC ou ICC... Avec une délivrance du même couple identifiant/mdp sur d'autres sites par exemple...

Je sais bien que c'est de la gnognotte leur mail et je redirige les clients dès que possible sur Gmail mais pas facile quand il y a un long historique d'utilisation.

Les problèmes entre la chaise et le clavier, j'ai l'habitude de les détecter après 11 années de Hotline (de la vraie, pas celle des fournisseurs) dans un grand groupe de transport parisien. Mais cette foutue Livebox m'inspire de moins en moins avec le temps.

Share this post


Link to post
Share on other sites

Il est possible de les basculer sur d'autres routeurs à moindre coût également, toujours pour la sécurité.

Mais cela ne changera pas grand chose je pense...

Share this post


Link to post
Share on other sites

^^

Tant pis...

 

Car je suis plutôt anti-télé

et je les basculerai sur la TNT ou sur la télé via satellite, sécurité au pire.

 

Pour le téléphone... Oui cela peut être embêtant.

 

Voire sinon à les changer d'opérateur pour passer sur OVH Télécom => - cher et mieux géré

 

Sécurité ou confort social

...

Share this post


Link to post
Share on other sites

Perso je ne vois pas du tout de lien entre la box et l'accès aux mails...

Avant oui, si une seule adresse mail existait sur le compte lié, elle était accessible automatiquement sans authentification.
Mais c'est fini depuis un moment, donc pour moi aucun lien.

 

Les seules possibilités sont : Phishing, infection (keylogger), piratage d'un autre compte du client utilisant le même mot de passe.

Share this post


Link to post
Share on other sites

Bon,

 

Nouveau piratage d'un compte déjà piraté le 24 décembre 2019, je vais voir quelle est la situation...

 

Je vous tiens au courant.

Share this post


Link to post
Share on other sites

Avec une analyse de la machine

+

une analyse des comptes/mots de passes utilisés ailleurs
+
une analyse de l'historique et de l'utilisateur 😕

 

Bon courage.

Share this post


Link to post
Share on other sites
Il y a 3 heures, InstantT a dit :

Avec une analyse de la machine

+

une analyse des comptes/mots de passes utilisés ailleurs
+
une analyse de l'historique et de l'utilisateur 😕

 

Bon courage.

État des lieux :

Pas de Phishing, mot de passe robuste 10 caractères alpha/num/maj/min, unique.

Aucun wifi gratuit fréquenté depuis dernier piratage et PC uniquement connecté à cette Livebox.

Je vais analyser la machine pour voir un éventuel Keylogger/Rootkit ...

 

Share this post


Link to post
Share on other sites
il y a une heure, ducke a dit :

les téléphones portable aussi ...

Oui, merci, très bonne piste.

Effectivement un téléphone de 6 ans, avec l'Appli des mails Orange est utilisé.

Share this post


Link to post
Share on other sites

Moi j'ai eu plusieurs cas, tous sur Orange également.

En général c'est souvent le mot de passe facilement trouvable, des fois keylogger ou autre sur le machine infectée, 1 fois j'ai eu aussi un gros doute sur le téléphone.

Share this post


Link to post
Share on other sites

Petite temporisation, la messagerie n'est plus accessible avec les message :

 

L'accès au service
est momentanément interrompu
Nos équipes sont mobilisées pour rétablir le service au plus tôt.
Nous vous présentons nos excuses pour la gêne occasionnée.

 

Ça marche top chez Orange !

Share this post


Link to post
Share on other sites

Coup d'épée dans l'eau !

Compte non piraté, pas de redirection, les mails arrivent bien.

Vérif du compte : RAS.

 

Le client pensait être de nouveau piraté car certains de ses contacts ont encore reçu des mails de phishing émanant de sa pseudo adresse.

Terminé.

Share this post


Link to post
Share on other sites
il y a une heure, InstantT a dit :

Le mieux ne serait-il pas qu'il change d'adresse email ... ?

Pour un service vraiment sécurisé...

Ça ne sert malheureusement à rien car son compte est maintenant sécurisé.

Même s'il change d'adresse, le pseudo pirate a toujours en sa possession son carnet d'adresses et peut arroser autant qu'il le veut ses correspondants.

Share this post


Link to post
Share on other sites

C'est juste pour aussi prévenir les contacts qui reçoivent des mails de l'ancien compte orange en usurpation (alias) que le hacker utilise...

Car c'est bien de protéger le client, mais aussi ses contacts... Non ?

Share this post


Link to post
Share on other sites
il y a 2 minutes, InstantT a dit :

C'est juste pour aussi prévenir les contacts qui reçoivent des mails de l'ancien compte orange en usurpation (alias) que le hacker utilise...

Car c'est bien de protéger le client, mais aussi ses contacts... Non ?

C'est déjà fait.

En général, je leur fait changer également le nom utilisé pour l'envoi du message (M. TARTEMPION - le vrai) par exemple ou un signe distinctif de l'ancien nom.

Ou encore une signature modifiée.

Share this post


Link to post
Share on other sites

De les prévenir en supprimant l'ancien compte pour un nouveau compte ailleurs... Je ne pensais pas juste en changeant un p'tit truc...

 

Ils vaut mieux tout changer et reprendre à zéro pour la sécurité de tous, sinon les contacts ne comprendront rien.

(Il ne faut pas prendre les gens pour des .......)

 

Est ce que Orange permet d'avoir la double authentification ? (Si non, c'est pas sécurisé)

Share this post


Link to post
Share on other sites
Il y a 2 heures, InstantT a dit :

De les prévenir en supprimant l'ancien compte pour un nouveau compte ailleurs... Je ne pensais pas juste en changeant un p'tit truc...

Changer de compte n'est pas LA solution. Certains ont de nombreux comptes commerciaux, assurances et administratifs liés à ce compte. Très fastidieux à tout changer.

Ils vaut mieux tout changer et reprendre à zéro pour la sécurité de tous, sinon les contacts ne comprendront rien.

(Il ne faut pas prendre les gens pour des .......)

Il suffit de les avertir par la même occasion. Je l'ai déjà fait, les gens comprennent très bien. Je n'ai pas l'habitude de prendre mes clients pour ce que tu crois, bien au contraire, sinon, je ne serais pas là à trouver des solutions complémentaires.

Le problème c'est que les gens ne vont pas jusqu'à lire l'adresse du correspondant en détails mais l'intitulé texte du contact (M. TARTEMPION Jean)

Est ce que Orange permet d'avoir la double authentification ? (Si non, c'est pas sécurisé)

Non, mais sécurisation par téléphone oui.

Mais jusqu'à maintenant le mot de passe sécurisé du compte de mon client tient le coup. 

 

 

Share this post


Link to post
Share on other sites

×
×
  • Create New...